Udany atak na systemy teleinformatyczne stawia pytanie o jego przyczynę. Co poszło nie tak, kto zawinił, którą podatność wykorzystał atakujący? Doświadczenie pokazuje, że często szukamy winowajcy nie zaś powodu, przez który nastąpiła kompromitacja systemów bezpieczeństwa. Co więcej, często nie zapewniamy nawet podstawowych mechanizmów organizacyjnych czując się bezpiecznie – przecież mamy nextgen‘owy firewall i WAF‘a! W razie co jest jeszcze serwer logów. Niestety – to nie wystarczy.
Wdrożenie samych zabezpieczeń technicznych nie spowoduje że nasze zasoby staną się bezpieczne.
Przyjmijmy, że modelowo określiliśmy odpowiedzialność za utrzymanie zabezpieczeń teleinformatycznych, wskazując po dwóch administratorów do naszej zapory sieciowej i dwóch do zapory aplikacyjnej (WAF‘a). Obowiązkiem każdego z nich było zapewnienie takiej konfiguracji zabezpieczeń, która gwarantowała by bezpieczeństwo zasobów sieciowych. Takiej, czyli właściwie jakiej? Każdy z administratorów w ramach dobrych praktyk, zdobytej wiedzy i doświadczenia wdroży swoją konfigurację, każdy będzie przeglądał ją i zmieniał w razie potrzeby. Administratorzy będą zgodnie z własnym uznaniem modelować polisy czy zmieniać ustawienia. Początkowo być może model ten zadziała, przy odrobienie szczęścia przez jakiś czas utrzymując sprawność. Niestety po kilku miesiącach będziemy mieli problem z uporządkowaniem i interpretacją polis, a i żadnej pewności że nie są one nadmiarowe. W bardziej sprzyjających okolicznościach wdrożenie nieprzemyślanej zmiany spowoduje niedostępność zabezpieczenia i problemy w funkcjonowaniu kluczowych; w mniej sprzyjających, w wyniku ataku utracimy wszystkie dane z naszych serwerów. Jak to?! Przecież zainwestowaliśmy w zabezpieczenia!
Zabezpieczenia techniczne można porównać do broni. Co nam z broni skoro nikt nie wie jak jej dokładnie używać!
Są administratorzy, określiliśmy odpowiedzialności i przygotowaliśmy procedury. Utrzymywana jest nawet instrukcja odtwarzania systemu bezpieczeństwa z kopii zapasowej. Każdy wie co i jak ma robić, czujemy się bezpieczni. Ale jak zwykle szkopuł tkwi w szczegółach. W procedurach nie określono złożoności klucza kryptograficznego wykorzystywanego przy VPN, nie wskazano też cyklu życia certyfikatu udostępnianego Klientowi. Zapomniano również, że aplikacje webowe są stale rozwijane (przecież jest tryb pracy WAF autolearning). Kopie zapasowe są robione, ale nie przeprowadzono testowego odtworzenia systemu. I w tym przypadku o katastrofę nietrudno. W prawdzie niedoświadczony hacker niewiele zdoła zrobić, ale atak APT czyli celowe, przemyślane działanie będzie niszczycielskie. I jeszcze jedno, brak testowania kopii zapasowych to brak kopii zapasowych.
Zapewnienie bezpieczeństwa nie polega tylko na wdrożeniu i jednokrotnym skonfigurowaniu zabezpieczenia. Podobnie jak dla każdego systemu teleinformatycznego, dla zabezpieczeń należałoby zapewnić proces ich utrzymania oparty o wcześniej ustalone reguły. Zamodelowanie takiego procesu wymaga spojrzenia nie tylko na samo zabezpieczenie i jego możliwości techniczne, ale również na procesy organizacyjne (np. problem fluktuacji kadry, problem zakupów i zapewnienia spójnego systemu bezpieczeństwa) oraz integrację z innymi procesami IT (zarządzanie zmianą, zarządzanie pojemnością, kopie zapasowe, itd.). Bez przemyślanych, szytych na miarę procedur i instrukcji niemożliwe jest zapewnienie zarówno spójności jak i kompleksowości procesu, co wiąże się z niską sprawnością wdrożonego zabezpieczenia.